Komentarz na temat propozycji regulacji Sztucznej Inteligencji. Rejestr systemów wysokiego ryzyka.

Krzysztof Izdebski

Krzysztof Izdebski

28 kwietnia 2021

Przeczytasz w 4 minuty

W nadchodzącej serii tekstów będziemy odnosić się do poszczególnych fragmentów regulacji, wybierając te, które uważamy za najistotniejsze i wymagające pogłębionej analizy. Skupimy się na przepisach, dotyczących konkretnych rozwiązań i postaramy się je odpowiednio zrecenzować. Ostatniego dnia konsultacji publicznych - 22 czerwca, prześlemy te zebrane spostrzeżenia do Komisji Europejskiej. 
Zacznijmy cykl od tych przepisów, które uznaliśmy za niezłe (aczkolwiek wciąż uważamy, że mogłyby być lepsze). Z entuzjazmem przyjmujemy koncepcję utworzenia Unijnej bazy systemów SI wysokiego ryzyka (art. 60). Wspieraliśmy ten pomysł kiedy pojawił się w Białej Księdze SI, która była poddana konsultacjom, w których braliśmy udział w zeszłym roku. Rekomendowaliśmy to rozwiązanie zresztą już w 2019 roku w naszym pierwszym raporcie “alGOVrithm. The State of Play” dotyczącym użycia algorytmów i systemów opierających się na Automatycznym Podejmowaniu Decyzji (ADM) w relacjach państwo-obywatel. Proponowaliśmy wtedy utworzenie odpowiedniego organu rządowego lub wyposażenie istniejącego w dodatkowe kompetencje, w obszarze nadzorowania rozwoju, wdrażania i wykorzystania ADM. Zgodnie z propozycją Komisji Europejskiej ma powstać rejestr (art. 6 (2) - załącznik III dokumentu przygotowanego przez KE), zawierający informacje na temat systemów opartych o sztuczną inteligencję . Jednak mają się w niej znaleźć tylko te określone mianem wysokiego ryzyka. Oznacza to, że tylko część systemów zostanie objęta kontrolą zewnętrzną. W 2019 roku rekomendowaliśmy stworzenie bazy, zawierającej wszystkie systemy oparte na SI, które są wykorzystywane przez instytucje państwowe. Podtrzymujemy tę opinię. Każde wykorzystanie SI w sektorze publicznym może mieć wpływ na prawa obywateli i tym samym jest “wysokiego ryzyka”, a nie tylko te ujęte w załączniku III. 
Jesteśmy zadowoleni z faktu, że lista systemów opartych na SI, które zostały oznaczone jako wysokiego ryzyka, jest dość obszerna. Jednak nie zmienia to faktu, że nie pokrywa ona wszystkich systemów, które mogą mieć negatywny wpływ na prawa podstawowe. Dotyczy to na przykład tych systemów, które przydzielają sędziów, czy urzędników do poszczególnych spraw sądowych.
Opisywany rejestr zostanie utworzony i będzie administrowany przez Komisję Europejską, natomiast informacje na temat systemów będą umieszczane w nim przez ich dostawców, a nie urzędników, posiadających odpowiednie kompetencje. Widzimy ryzyko w mechanizmie, który pozwala dostawcom na dokonywanie samooceny, zwłaszcza w przypadku systemów wysokiego ryzyka. 
Zawarty w regulacji pomysł, , że rejestr ma być publicznie dostępny, jest dobry. Niestety, dostępne dane, które ma zawierać są bardzo mocno okrojone. Szczegółowe informacje, które zostaną wprowadzone do rejestru i tym samym upublicznione są zebrane w załączniku VIII dokumentu: 
  1. Nazwa, adres oraz dane kontaktowe dostawcy systemu
  2. Jeżeli w imieniu dostawcy informacje przekazuje trzecia strona należy podać jej nazwę, adres oraz dane kontaktowe.
  3. Nazwa, adres oraz dane kontaktowe upoważnionego przedstawiciela; jeżeli dotyczy.
  4. Nazwę systemu i wszystkie informacje pozwalające na identyfikację i możliwość śledzenia systemu.
  5. Opis zamierzonego zastosowania systemu opartego na SI.
  6. Status systemu opartego na SI (wykorzystywany na rynku, w serwisie, aktualnie nie wykorzystywany na rynku/w serwisie, wycofany z rynku).
  7. Typ, numer identyfikacyjny i datę wygaśnięcia certyfikatu wystawionego przez uprawnioną instytucję, nazwę i numer identyfikacyjny uprawnionej instytucji, jeżeli dotyczy.
  8. Zeskanowaną kopię certyfikatu, wyszczególnionego w punkcie 7; jeżeli dotyczy.
  9. Listę krajów UE, w których system jest używany, serwisowany lub w których został dopuszczony do użycia.
  10. Kopię deklaracji zgodności wystawioną przez UE, wyszczególnioną w Artykule 48 [Unijna Deklaracja Zgodności stwierdza, że system wysokiego ryzyka jest zgodny z wymaganiami].
  11. Elektroniczną instrukcję użycia; nie dotyczy systemów wysokiego ryzyka stworzonych dla sił porządkowych, służb migracyjnych, zajmujących się prawem do azylu i służb ochrony granic wyszczególnionych w załączniku 3 dokumentu, w punktach 1, 6 oraz 7. 
  12. Adres URL z dodatkowymi informacjami (opcjonalne)
Według dokumentu rejestr “będzie umożliwiał kompetentnym władzom, użytkownikom i innym zainteresowanym osobom weryfikację tego, czy systemy wysokiego ryzyka są zgodne z wymaganiami zawartymi w regulacji stworzonej przez Komisję i tym samym zwiększał kontrolę nad systemami mogącymi potencjalnie uderzać w podstawowe prawa."
Komisja Europejska wskazuje też na rejestr jako narzędzie do monitoringu i ewaluacji również samych przepisów regulacji. Jednak, skoro nie mają się w nim znaleźć informacje o wykrytych błędach lub przykładach, w których dany system naruszył podstawowe prawa, nie wiadomo na jakiej podstawie ta ewaluacja miałaby być dokonana. Zdecydowanie wiele aspektów tego zakresu regulacji czeka na poprawienie... 
W przyszłym tygodniu przyjrzymy się bliżej liście systemów oznaczonych jako wysokiego ryzyka i sprawdzimy jak dobre (lub złe) będą ich mechanizmy zabezpieczające.